V posledných týždňoch, alebo skôr mesiacoch sa množia útoky (mnohokrát úspešné) voči tuzemským spoločnostiam. Jedným z dôvodov je určite aj zvyšujúca sa lukratívnosť v prípade úspešného útoku. Teraz nemyslím nutne DDoS, ale všetky útoky všeobecne. Dnes len na Slovensku a v Česku je možné nájsť niekoľko desiatok spoločností, ktoré ponúkajú proprietárne, ale často aj open-source webové, či serverové aplikácie. Zamerať sa na ktorúkoľvek z týchto spoločností môže mať veľa dôvodov, od konkurenčného boja, cez vidinu zisku za ohlásenie chyby, resp. predaja osobných údajov na čiernom trhu.
Nedávno ma oslovila spoločnosť, ktorú pravidelne navštevoval nezvaný hosť, možno aj skupina. Spoločnosť zmenila takmer všetko čo sa dalo, vrátane samotného OS na serveri, oslovili viacero odborníkov, ktorí im poradili a skúsili rozlične ochrany, ale nič nepomohlo. Výsledkom boli odcudzené dôležité informácie spoločnosti, vrátane informáciách o ich zákazníkoch, obchodných partneroch, atď. Spoločnosť nakoniec skúsila tretiu stranu, ktorá prebrala úplnú správu ich systémov, no i tak sa za par dní objavili totožné problémy.
Práve na tomto prípade by som rád upozornil na jeden veľmi dôležitý fakt, na ktorý sa nemyslí a možno len pozabúda. Ak mal hacker dostatok času a motivácie, prechádzal emaily, nastavenia systému, spoznával návyky zamestnancov, hlavne teda administrátorov, potom s takýmito znalosťami je obrovský problém dostať ho preč zo systému.
Čo všetko môže hacker vedieť po niekoľkých dňoch strávených “kopaním” v systéme?
- Administrátorov a ich úlohy
- Zamestnancov
- Password policy (teda podľa akých pravidiel sa nastavajú heslá)
- Programy, ktoré sa používajú (minimálne na kompromitovanom serveri)
- Históriu spoločnosti (hlavne teda rôzne zabudnuté dokumenty, atď.)
- Zoznam zákazníkov a obchodných partnerov
- Skupiny vrámci spoločnosti
- Ako funguje intranet spoločnosti
- Aký softvér používajú zamestnanci
- Emaily spoločnosti
- Interné dokumenty, faktúry, atď.
Tento zoznam by mohol byť obsiahly skoro ako telefónny. Čim dlhšie dokáže hacker operovať vo vnútri spoločnosti, tým viac sa o nej dokáže naučiť.
Rovnako to bolo aj v prípade tejto spoločnosti, kedy sa dotyčný vždy prihlásil pod niektorým so zamestnancov na jeho osobnom emaili a prečítal si, aké zmeny boli urobené. Nech sa dialo čokoľvek, vždy veľmi rýchlo získal prístup. Samozrejme, chybou boli jednotné heslá do rozličných služieb, ale to nie je žiadna výnimka. Dnes, dovolím si tvrdiť, nadpolovičná väčšina používa svoje heslo k osobnému emailu u minimálne jednej ďalšej služby, ktorá nie je spojená s poskytovaním emailu (napríklad google, kde jedno heslo funguje neprieč všetkými systémami).
Emailové konto sa dá dnes považovať za asi najdôležitejšie miesto, ktoré treba čo najviac chrániť. Email sa dnes využíva ako styčný bod medzi službou a užívateľom. Často je vďaka emailu možnosť zresetovať heslo, čím hacker získa plný prístup do ďalších a ďalších služieb, vrátane PayPalu, Facebooku, atď. Drvivá väčšina služieb je bezradná, ak hacker kontroluje email obete.
Spoločnosť kvôli tomu musela donútiť zmeniť všetky prístupové heslá všetkých zamestnancov na všetkých ich dôležitých kontách, aj mimo spoločnosti. Po tomto kroku bolo zaznamenaných mnoho pokusov o prienik, vrátane osobných kont naprieč rôznymi službami, ale ako sa zdá, zatiaľ spoločnosť odoláva. Podarilo sa odstrániť aj väčšinu závažných problémov webovej aplikácie, aktualizoval sa softvér, atď.
Je preto nevyhnutné monitorovať akúkoľvek aktivitu na serveri/och a v prípade akéhokoľvek prieniku okamžite konať. Každá minúta je drahá a môže vás stať mesiace utrpenia a stratu dôležitých dát, možno dokonca aj poškodenie dobrého mena spoločnosti a iné problémy.
Píšeš: “Nedávno ma oslovila spoločnosť, ktorú pravidelne navštevoval nezvaný hosť, možno aj skupina.” Podala tá spoločnosť trestné oznámenie?
Samozrejme si uvedomujem absolútne nulový význam pre ochranu a účinok na tých zlodejov, no kým polícia a súdy nebudú na dennej báze pracovať s touto formou trestnej činnosti, tak nebudú mať dôvod učiť sa to. Už minimálne stav, kedy sa policajtom na podnose donesú dôkazy a oni budú vedieť čo s tým by bol iste pokrok.
Ak je za rok medializovaný len jeden prípad, ktorý sa dostal pre súd s tým, že pre úspešnú obhajobu stačí len mlčať a šifrovať, tak každý trtko s klávesnicou si bude skúšáť s pocitom beztrestnosti.
#1 Piki: nuz, veruze nepodala a poviem ti aj preco. ked take nieco urobis, stravis niekolko hodin ozrejmovanim policajtovi podstatu trestneho oznamenia. ten potom kontaktuje niekoho, kto aspon trosku vie o co ide a ty stravis dalsi cas vysvetlovanim o co ide jemu. a takto sa to taha, dvakrat ta pozvu na policiu a vysledkom je, ze ti pride domov rozhodnutie o pozastaveni vysetrovania kvoli nedostatku dokazov.
aj ked mas pravdu a nepriestrelnu logiku, len malo ludi je dnes ochotnych ist do toho takto, pretoze oni musia zbierat dokazy co by casto znamenalo vzdat sa svojich dat a dost ze ich ma jedna cudzia osoba, nie dalsich 500. tam je skutocne vela dodovodov, preco to nerobit.
“…co by casto znamenalo vzdat sa svojich dat a dost ze ich ma jedna cudzia osoba, nie dalsich 500″ Hm, to je myslím ešte tvrdší argument, to uznávam.
OOT: Prečo zmizol blog z cleverandsmart.cz(žiaľ, nadpis si nepamätám)? Nedohodol si sa s pôvodným autorom na podmienkach hosťovania?
#4 hulo: ale dohodol, clanok bude opat online uz skoro
presne si trafil klinec po hlavicke, k tomu zoznamu pridam dalsi bod
* dalsie systemy v sieti a ich funkcia
inak je velmi zaujimave, ze na to firma vobec prisla, mnoho firiem dnes ani netusi o tom, co sa vlastne v ich sieti deje
nerozumím, co chtěl autor říci v byť krátkém, ale všeobjímajícím článku. Není to honění více zajíců v pytli? Že když je útočník v systému déle, tak se v něm vyzná? To je hodně velká novinka…
1. Problém popisovaný v 1. části je typická záležitost menších firem – tam se dá infrastruktura sítě poznat za pár hodin. Taky tam neprobíhá nějak zvlášť monitoring (denní prohlídka syslogů apd.). Ovšem menší firmy jsou menší firmy, nemá valný význam je napádat…
2. V druhý části článku se k jabkám přimíchjí hrušky a autor tvrdí, že všechno zlo pochází vod mejlů, což je blbost. I kdyby nakrásně “hekeři” vlastnili celý mailserver, do např. intranetu se nesmějí dostat. Když se jim to povede, tak je správce natolik blbý, že jsi to zaslouží. Že ukradou nějaký hesla k facebooku, to je úplně nepodstatná věc.
Přečetl sem si několik článků tady na blog/synopsi a musím říct, že je to hodně vágní… Nespochybňuju odbornou erudovanost autorů, ale samotný články jsou spíše agitkou pro vyvolávaní paniky. Není tu nic konkrétního ve smyslu case studies a pod…
#7 washington irving: toto je blog, pisany vseobecne pre beznych ludi. nie je pisany pre odbornikov z oblasti, ktori vyzaduju uz trosku iny pristup. skor mi slo o spopularizovanie a odkrytie niektorych otazok okolo bezpecnosti. nemozem vyhoviet vsetkym.
to co ty povazujes za vseobecne znamu vec 99% citatelov nikdy netusilo. ale ako hovorim, vychadza to z toho, co som napisal vyssie. snad to ozrejmu aj otazku okolo case studies.
#7 autor blogu ti uz odpisal a ma pravdu, ja si celkom rad precitam blog, ktory je pisany jednoduchsie :)